Hlavní navigace

Starší verze mobilního Firefoxu je možné napadnout pomocí místní Wi-Fi

Sdílet

Petr Krčmář 21. 9. 2020
Firefox logo

Mozilla opravila vážnou zranitelnost mobilní verze prohlížeče Firefox, která dovoluje na dálku prohlížeč ovládnout, pokud je útočník připojen ke stejné Wi-Fi síti. Prohlížeč pak může být například směrován na libovolnou webovou stránku obsahující malware.

Chyba se nachází v implementaci protokolu SSDP (Simple Service Discovery Protocol) ve Firefoxu pro Android. Protokol je určen pro předávání informací o místních službách v síti. Chyba se nachází ve Firefoxu 68.11.0 a nižších a odhalil ji Chris Moberly z GitLabu.

Jakmile se zařízení v síti ohlásí, dostane komponenta SSDP v prohlížeči informaci o tom, kde si má stáhnout XML soubor s konfigurací. Chyba umožňuje útočníkovi na stejné síti podvrhnout vlastní verzi tohoto souboru a vložit do něj příkazy intent z Androidu. Prohlížeč pak na pozadí tyto příkazy provede, což může vést například k nasměrování na konkrétní URL.

Útočníkovi stačí být třeba s notebookem připojený ke stejné síti a odesílat vlastní SSDP pakety. Klientovi stačí, aby měl nainstalovaný Firefox a připojil se ke stejné síti třeba příchodem do kavárny. Oprava je součástí aktuálních verzí počínaje 79. Desktopová verze zasažena vůbec nebyla.

Našli jste v článku chybu?